این خبر که هکرها به مدت سه سال به صورت کاملا مخفیانه به شبکه شرکت
شرکت GoDaddy همچنین اعلام کرد:
«ما در تحقیقات خود متوجه شدیم که حمله سایبری اخیر در واقع بخشی از یک رشته حملاتی است که در چند سال اخیر توسط یک گروه هکری حرفهای انجام شده است. آنها با نصب بدافزار بر روی سیستمهای ما اقدام به سرقت کدهای منبع مرتبط با برخی از سرویسهای شرکت GoDaddy کردند.»
این شرکت میگوید که تحقیقاتش در مورد این حملات همچنان ادامه دارد و از نظر آنها، حملات قبلی که در ماههای مارس سال ۲۰۲۰ و نوامبر سال ۲۰۲۱ افشا شدند نیز به همین رشته حملات مرتبط میشوند.
مهاجمان در نوامبر سال ۲۰۲۱ در سومین حمله خود با هک کردن رمز عبور و کدهای منبع پلتفرم سرویس هاستینگ وردپرسی (MWP) گوددی، باعث افشای اطلاعات حدود ۱.۲ میلیون نفر از کاربران پلانهای وردپرسی شدند. هکرها در این حمله سایبری توانستند به آدرسهای ایمیل کاربران، رمز عبور وردپرس آنها، اطلاعات مورد نیاز برای ورود به پایگاهداده و SFTP (پروتکل انتقال فایل امن) و حتی کلیدهای خصوصی SSL برخی وبسایتها دسترسی پیدا کنند. شرکت GoDaddy پس از نقض گسترده اطلاعات مشتریان خود در مارس سال ۲۰۲۰، طی یک پیام هشداری به حدود ۲۸،۰۰۰ کاربر خود اعلام کرد که مهاجمی در اکتبر سال ۲۰۱۹ به اطلاعات SSH شرکت دسترسی پیدا کرده و از اطلاعات کاربری مشتریان (نام کاربری، رمز ورود، …) برای ورود به حساب میزبانی آنها استفاده کرده است.
GoDaddy اکنون با کارشناسان امنیت سایبری و سازمانهای مجری قانون برای پیدا کردن علت اصلی نقض گسترده اطلاعات کاربران خود در حال همکاری میباشد. این شرکت همچنین شواهدی پیدا کرده است که نشان میدهند که این گروه پیچیده و سازمان یافته در طول سالیان برخی از شرکتهای هاستینگ در سرتاسر جهان را نیز مورد هدف حملات خود قرار داده است.
مقامات شرکت GoDaddy در بیانیهای که در روز پنجشنبه ۱۶ فوریه منتشر کردند، اعلام داشتند:
«طبق اطلاعاتی که دریافت کردیم، مشخص شده است که ظاهرا هدف آنها آلوده کردن سرورها و وبسایتها از طریق تکنیک فیشینگ، توزیع بدافزار و سایر فعالیتهای مخرب مرتبط با حملات سایبری است.»
این شرکت در بیانیه دیگری اعلام کرد:
«ما به خاطر ناراحتی که برای مشتریان و بازدیدکنندگان وبسایتهای ما پیشآمده، عذرخواهی میکنیم. ما از این حملات درسهای مهمی گرفتیم و تمام تلاش خود را برای افزایش امنیت سیستمهای شرکت و محافظت بیشتر از مشتریان و دادههای آنها به کار خواهیم گرفت.»
اما شرکت GoDaddy سه بار توسط یک گروه هکری مورد حمله قرار گرفته است و این عذرخواهی و تعهد برای بهبود امنیت به نظر چندان برای مشتریان آنها اطمینانبخش نخواهد بود.
شرکت گوددی در جای دیگری اظهار داشت:
«ما به نظارت بر رفتارهای این گروه هکری و جلوگیری از تلاشهای خرابکارانه آنها ادامه خواهیم داد و برای کمک به اجرای قانون همچنان در حال جمعآوری شواهد و اطلاعات مرتبط با تاکتیکهایی که آنها در حملات خود استفاده میکنند، هستیم.»
نقصها و آسیبپذیریهای امنیتی GoDaddy در طول سالیان منجر به مجموعهای از اتفاقات مشابه شده و تعداد بسیار زیادی از وبسایتهای این شرکت معروف را تحت تاثیر خود قرار دادهاند. به عنوان مثال، در سال ۲۰۱۹، پیکربندی نادرست یکی از سرویسهای DNS (سیستم نام دامنه) گوددی باعث شد تا هکرها بتوانند کنترل دهها وبسایت متعلق به شرکتهایی مانند Expedia، Yelp و Mozilla را در دست بگیرند و از صفحات آنها برای باجگیری و تهدید به منفجر کردن ساختمانها و مدارس استفاده کنند. این در حالی است که آسیبپذیری DNSهای شرکت GoDaddy، سه سال قبل از این حملات آشکار شده بود و اگر سازمان بورس و اوراق بهادار آمریکا (SEC) تشخیص دهد که گوددی در حفظ امنیت سایبری مشتریان خود کوتاهی میکند، در این صورت ممکن است این شرکت با جریمههای بسیار سنگینی مواجه شود.
یک کارشناس امنیت سایبری در سال ۲۰۱۹ نیز متوجه شده بود که مهاجمان از صدها حساب کاربری GoDaddy برای ایجاد ۱۵،۰۰۰ وبسایت تبلیغاتی استفاده کرده بودند. این وبسایتها هرزنامههایی را در رابطه با محصولات لاغری و سایر موارد مشابه منتشر میکردند.
شرکت GoDaddy همچنین در گزارشی اعلام کرد:
«شرکت ما به عنوان یک اپراتور بزرگ اینترنتی اغلب مورد هدف حملات سایبری قرار میگیرد. برخی از این حملات سایبری بسیار پیچیده بوده و شامل تهدیدات مستمر و پیشرفته و حمله روز صفر (Zero-Day Attack) میشوند.»
منتقدان تعجب میکنند که چرا چنین شرکت بزرگی میزان استفاده از سرویس امنیتی احراز هویت چندعاملی (MFA) را به حداقل رسانده است.
این شرکت با بیاعتنایی کامل به انتقادات، اعلام کرد: «ما پس از تایید حمله صورت گرفته فورا اوضاع را آرام کردیم و برای جلوگیری از تهدیدات و حملات احتمالی که ممکن است در آینده رخ دهند، اقدامات امنیتی لازم را انجام دادیم.»
گوددی علاوهبراین اظهار کرد:
«اتفاقات رخ داده و همچنین سایر تهدیدات و حملات سایبری تا به امروز هیچ تاثیر منفی بر کسبوکار و فعالیتهای ما نداشتهاند اما چنین حملاتی دائما در حال تغییر هستند و این امر شناسایی و مقابله با آنها را دشوارتر میکند.»
نیک فرانس (Nick France) مدیر ارشد اطلاعات (CTO) شرکت Sectigo (شرکت فعال در ارائه گواهینامههای SSL) خاطرنشان کرد:
«آسیبپذیری شرکتهای میزبانی و زیرساختهای DNS میتواند منجر به هک شدن کلیدهای خصوصی گواهینامههای دیجیتال وبسایتها شود.»
ریچارد هالیس مدیر عامل شرکت Risk Crew در مصاحبهای با وبسایت Spiceworks گفت:
«اتفاقاتی که اخیرا برای یکی از بزرگترین شرکتهای ثبت دامنه و ارائهدهنده خدمات میزبانی رخ داده، یک شکست بزرگ برای آنها به حساب میآید. روزی که ۲۰ میلیون مشتری GoDaddy متوجه شوند که شرکت مورد اعتمادشان مورد یک حمله سایبری برداری (Vector Attack) قرار گرفته است، قطعا روز بدی برای آنها خواهد بود.»
جولیا اوتول، مدیرعامل شرکت MyCena نیز در مصاحبهای با Spiceworks گفت:
«اینکه شرکت GoDaddy برای چندمین سال پیاپی مورد حمله قرار میگیرد، واقعا شرمآور است. اصلا معلوم نیست چرا این شرکت نقض اطلاعات مشتریان خود در ماه دسامبر ۲۰۲۲ را در فوریه ۲۰۲۳ فاش کرده است.»
منبع خبر : bleepingcomputer ،pcmag ،wired
1 دیدگاه. Leave new
Thank you very much for sharing, I learned a lot from your article. Very cool. Thanks. nimabi